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Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu manajemen 
untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan (assurance activities) dan 
layanan konsultansi (consulting activities) sesuai standar, sehingga memberikan perbaikan efisiensi dan 
efektivitas atas tata kelola, manajemen risiko, dan pengendalian intern organisasi. Selain itu, Peraturan 
Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah mengatur bahwa 
pelaksanaan audit intern di lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai 
tugas melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor. 
Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang transparan 
dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek pelaksanaan tugas 
umum pemerintahan dan pembangunan yang dituangkan dalam Undang-Undang No. 28 Tahun 1999 
tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. 


Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan 
dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan pengetahuan, keterampilan, 
dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya sesuai 
dengan keputusan bersama Kepala Pusat Pembinaan Jabatan Fungsional Auditor dan Kepala Pusat 
Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan dan Pembangunan Nomor KEP- 
82/JF/1/2014 dan Nomor KEP- 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional 
Auditor. 


Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan dengan 
sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk menilai relevansi 
substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini ditujukan untuk memutakhirkan 
substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang 
lebih berguna bagi para peserta diklat sertifikasi auditor. 


Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas 
terwujudnya modul ini. 


Ciawi, 31 Desember 2016 Kepala 
Pusdiklat Pengawasan BPKP 


Slamet Hariadi, Ak., M.B.A. 


Kata Pengantar 
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Bab | 
PENDAHULUAN 


A. LATAR BELAKANG 


Modul ini disusun untuk memenuhi materi pembelajaran pada Diklat Fungsional Auditor Tingkat Ahli di 


lingkungan instansi pemerintah. 


B. KOMPETENSI DASAR 


Setelah mempelajari modul Audit Tingkat Dasar, peserta diklat diharapkan mampu mengidentifikasi titiK- 


titik kritis pada pelaksanaan tata kelola organisasi manajemen risiko, dan pengendalian intern. 


C. INDIKATOR KEBERHASILAN 

Setelah mengikuti diklat ini, peserta diklat diharapkan mampu: 

1. menjelaskan mengenai tata kelola organisasi yang baik (good governance); 
2. menjelaskan mengenai manajemen risiko; 


3. menjelaskan mengenai pengendalian internal; 

4. menjelaskan mengenai hubungan antara tata kelola, manajemen risiko, dan pengendalian 
internal; 

5. menjelaskan mengenai prinsip-prinsip pemantauan dan evaluasi atas efektivitas proses tata 


kelola organisasi, manajemen risiko, dan pengendalian internal. 


D SISTEMATIKA MODUL 


Bab I : Pendahuluan 
Bab ini berisi latar belakang disusunnya modul, tujuan pembelajaran, indikator 


keberhasilan, dan sistematika modul. 


Bab II : Pengendalian Internal 
Bab ini menguraikan definisi dan tujuan pengendalian internal, perkembangan terkini 
pengendalian internal, komponen pengendalian internal, jenis-jenis pengendalian internal, 


serta keterbatasan pengendalian internal. 


Bab Ill : Audit Internal dan Governance Risk Control 


Bab ini menguraikan mengenai peran audit intern dalam tata kelola, manajemen risiko, dan 


pengendalian internal. Juga dibahas mengenai nilai tambah audit intern bagi organisasi. 


Bab IV : Pemantauan dan Evaluasi 


Bab ini membahas mengenai pemantauan dan evaluasi atas efektivitas proses tata kelola, 
pemantauan dan evaluasi atas efektivitas manajemen risiko, pemantauan dan evaluasi atas 


efektivitas pengendalian internal. 


E. METODE PEMBELAJARAN 


Metode yang digunakan untuk mencapai tujuan pembelajaran menggunakan pendekatan andragogi. 
Pendekatan ini disebut pendekatan pembelajaran orang dewasa mengingat peserta didik adalah orang 
yang telah memiliki pengalaman dan pengetahuan sebelumnya (prior knowledge) terkait dengan 


beberapa bagian dari materi diklat. 


Oleh karena itu, metode pembelajaran ini menggunakan kombinasi proses belajar mengajar dengan 


cara: ceramah, tanya jawab dan diskusi, serta latihan. 
1. Ceramah 


Widyaiswara/instruktur membantu peserta dalam memahami materi dengan ceramah dan dalam 
proses ini peserta diberi kesempatan untuk mengajukan tanya jawab atau memberikan pendapat 
dalam sesi curah pendapat. Selain itu, agar proses pendalaman materi dapat berlangsung 
dengan lebih baik, dilakukan pula diskusi dan latihan secara berkelompok sehingga peserta didik 


benar-benar dapat secara aktif terlibat dalam proses belajar mengajar. 
2. Diskusi dan Tanya Jawab 


Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang terkait 


dengan tata kelola, pengelolaan risiko dan pengendalian internal. 
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3. Latihan 


Peserta berlatih menyelesaikan soal-soal yang terkait dengan permasalahan tata kelola, 


pengelolaan risiko dan pengendalian internal. 
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Bab Il 
PENGENDALIAN INTERNAL 


Indikator Keberhasilan 
Setelah mempelajari bab ini, peserta diktat diharapkan mampu menjelaskan mengenai 
pengendalian intern organisasi. 


Setiap organisasi memiliki tujuan yang harus dicapai serta risiko-risiko yang menghalangi pencapaian 
tujuan organisasi. Bab ini akan mendiskusikan mengenai berbagai komponen dari sistem pengendalian 


intern untuk memitigasi dan mengelola risiko-risiko yang ada. 


Banyaknya permasalahan yang terjadi dalam penyelenggaraan pemerintahan menjadi isu penting yang 
harus segera diselesaikan. Untuk itu, dituntut adanya sebuah pengelolaan keuangan negara yang 
transparan, akuntabel, dan terukur. Untuk mewujudkannya diperlukan suatu sistem pengendalian intern 
yang dapat memberikan keyakinan yang memadai atas tercapainya tujuan organisasi secara efektif dan 
efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan 


perundang-undangan yang berlaku. 


A. DEFINISI DAN TUJUAN PENGENDALIAN INTERN 


Perkembangan sistem pengendalian intern sektor publik dipengaruhi oleh perkembangan di sektor 
korporasi. Beberapa kerangka terkait pengendalian intern dikembangkan oleh COSO (The Committee of 
Sponsoring Organizations of the Treadway Commission), CoCo (Guidance on Control - the Canadian 
Institute of Chartered Accountants), Turnbull (Internal Control: Revised Guide for Directors on the 
Combined Code) serta Cobit (IT Governance Institute, USA). Dalam modul ini, kerangka yang digunakan 
adalah yang diterbitkan COSO. 


Pada September 1992, COSO menyampaikan laporan berjudul Internal Control - Integrated Framework. 
COSO adalah suatu komisi yang beranggotakan wakil-wakil dari Financial Executives Institute, AICPA, 
American Accounting Associations, The Institute of Internal Auditors, dan Institute of Management 


Accountants yang bertujuan merumuskan pengendalian intern secara lebih mendalam. 


Dengan mengacu pada sistem pengendalian intern yang dikembangkan COSO tersebut, untuk sektor 
publik, General Accounting Office (GAO) pada tahun 1999 mendefinisikan pengendalian internal sebagai 
berikut: 


"Internal Control: a process, affected by an entity's board of directors, management, and 
other personil, designed to provide reasonable assurance regarding the improvement of 
objectives in the following categories: 

- Effectiveness and efficiency of operation, 

= Reliability of financial reporting, 

- Compliance with applicable laws and regulations" 


Terjemahan: 


Pengendalian Intern merupakan suatu proses, yang dipengaruhi oleh dewan komisaris 

suatu entitas, manajemen, dan personil lainnya, dirancang untuk menyediakan keyakinan 

yang memadai berkaitan dengan pencapaian tujuan dalam berbagai kategori: 

- Efektivitas dan efisiensi kegiatan; 

- Keandalan pelaporan keuangan; 

- Ketaatan pada peraturan dan ketentuan yang berlaku. 
Pada tahun 2001, International Organization of Supreme Audit Instituitions (INTOSAI), yaitu suatu 
Komite Internasional di bidang pengembangan pengendalian internal sektor publik yang beranggotakan 
Bolivia, Perancis, Hongaria, Lithuania, Belanda, Rumania, United Kingdom, United States of America, 
dan Belgia (sebagai Ketua Komite), serta negara-negara berkembang, membuat exposure draft yang 


berjudul Guidelines for Internal Control Standards for the Public Sector, yakni penerapan konsep 


pengendalian intern untuk sektor publik. Menurut INTOSAI Internal Control Standards Committee, dalam 
Guidelines for Internal Control Standards for the Public Sector, Budapest 2004, sistem pengendalian 


intern didefinisikan sebagai: 


An integral process that effected by an entity's management and personnel and is designed 
to address risk and to provide reasonable assurance that in pursuit of the entity's mission, 
the following general objectives are being achieved: 

1. Executing orderly, ethical, economical, efficient and effective operations; 

2. Fulfilling accountability obligations; 

3. Complying applicable laws and regulations; and 

4 Safeguarding resources againts loss, misuse and damage." 


Selanjutnya, Institute of Internal Auditors (I | A) mendefinisikan pengendalian internal sebagai: 


Any action taken by management, the board, and other parties to enhance risk 
management and increase the likelihood that established objectives and goals will be 
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achieved. Management plans, organizes, and directs the performance of sufficient actions to 

provide reasonable assurance that objectives and goals will be achieved. 
Pengendalian intern dibangun untuk mencapai tujuan organisasi melalui pemanfaatan seluruh sumber 
daya secara ekonomis, efisien, efektif dan sesuai dengan ketentuan yang berlaku. Pada prinsipnya 
fungsi pengendalian intern bertujuan untuk mengidentifikasi terjadinya deviasi atau penyimpangan atas 
pelaksanaan kegiatan dibandingkan dengan rencana yang telah ditetapkan, sehingga dapat dilakukan 
tindakan koreksi oleh pihak manajemen. Pengendalian intern dapat mencakup pengendalian yang 
bersifat preventif yaitu berupa perancangan suatu sistem pengendalian, ataupun detektif untuk 


mengatasi penyimpangan yang sudah terjadi. 


Dari pengertian pengendalian intern yang diberikan oleh COSO, dapat disimpulkan bahwa dengan 


adanya pengendalian intern diharapkan: 


1. Suatu organisasi sebagai suatu entitas dapat mencapai tujuan organisasi dengan efektif dan 


efisien. 
2. Laporan keuangan dapat diandalkan. 
3. Organisasi taat terhadap peraturan perundang-undangan yang berlaku. 


Di lain pihak, Institute of Internal Auditor (IIA), merinci tujuan dan sasaran pengendalian, yaitu untuk 


memperoleh jaminan yang memadai bahwa: 
1. Informasi keuangan dan operasional layak dipercaya. 


2. Seluruh transaksi atau kegiatan, dilaksanakan berdasarkan ketaatan terhadap kebijakan, rencana, 


prosedur, dan peraturan perundang-undangan yang berlaku. 
3. Terselenggaranya pengamanan aset dengan baik. 
4. Penggunaan sumber daya dilakukan secara ekonomis. 


5. Kegiatan operasional telah ditangani sesuai rencana dan hasilnya telah sesuai dengan tujuan dan 


sasaran yang telah ditetapkan. 


Terkait sektor pemerintahan di Indonesia, pendekatan terkini dari sistem pengendalian internal adalah 
Sistem Pengendalian Intern Pemerintah (SPIP) yang didasarkan pada Peraturan Pemerintah Nomor 60 
Tahun 2008. Pengertian Sistem Pengendalian Intern menurut PP Nomor 60 Tahun 2008 tentang SPIP 


adalah: 


"Proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus 
oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas 
tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan 
pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan 
perundang-undangan." 


Tujuan SPIP adalah memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui: 
1. Kegiatan yang efektif dan efisien; 

2. Laporan keuangan yang dapat diandalkan; 

3. Pengamanan aset negara; serta 


4. Ketaatan terhadap peraturan perundang-undangan. 

Keempat tujuan tersebut di atas tidak perlu dicapai secara khusus atau terpisah-pisah. Dengan kata 
lain, instansi pemerintah tidak harus merancang secara khusus pengendalian untuk mencapai satu 
tujuan. Suatu kebijakan atau prosedur dapat saja dikembangkan untuk dapat mencapai lebih dari satu 


tujuan pengendalian. 


Menurut SPIP, terdapat lima unsur yang menjadi substansi dari sistem pengendalian, yakni: lingkungan 
pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. 
Kelima unsur sistem pengendalian internal merupakan komponen yang terjalin erat satu dengan yang 
lainnya dengan komponen lingkungan pengendalian sebagai fondasinya. Unsur lingkungan 
pengendalian memiliki dampak yang sangat kuat terhadap struktur kegiatan, penetapan tujuan, dan 
penilaian risiko. Lingkungan pengendalian juga mempengaruhi kegiatan pengendalian, sistem informasi 


dan komunikasi, dan pemantauan pengendalian intern. 


Gambar kubus di bawah ini menjelaskan bahwa semua unsur pengendalian disusun dengan urutan 
kronologis yang bertujuan (kubus paling atas) untuk memperoleh kegiatan operasi yang efisien dan 
efektif, pengamanan aset, pelaporan keuangan yang dapat diandalkan, dan ketaatan kepada peraturan 
dan ketentuan yang berlaku. Sedangkan sisi kanan kubus menjelaskan bahwa implementasi kelima 
unsur pengendalian tersebut dapat diterapkan untuk aktivitas unit atau kegiatan tertentu. Hubungan 


kelima unsur dapat digambarkan sebagai berikut. 
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Gambar 2.1 Sistem Pengendalian Intern Pemerintah 


Pemantauan Pengendalian 
Informasi & Komunikasi 
Kegiatan Pengendalian 


Penitaian Risiko 


Lingkungan Pengendalian 


Penjelasan yang lebih rinci dari masing-masing unsur SPIP disampaikan pada subbab selanjutnya. 


PERKEMBANGAN TERKINI PENGENDALIAN INTERNAL 


Pada tanggal 14 Mei 2013, COSO memublikasikan Kerangka Pengendalian Internal Terintegrasi yang 
telah diperbarui (COSO Internal Control Integrated Framework2013, dikenal dengan COSO 2013). Tetap 


menggunakan pendekatan prinsipil, kerangka terbaru ini menyediakan tuntunan yang lebih terperinci 


dalam mengilustrasikan dan menjelaskan konsep-konsep yang ada, dengan tujuan untuk membantu 


organisasi beradaptasi dengan lingkungan bisnis yang semakin kompleks dan terus berubah dengan 


cepat. 


Latar 


belakang dilakukannya update Original Framework COSO's Internal Control-Integrated 


Framework (1992 Edition) yang sudah baik dan diadopsi di seluruh dunia adalah: 


1. 
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Lingkungan bisnis dan operasional berubah sangat cepat, menjadi semakin kompleks, technology 


driven, dan global. 
Ekspektasi yang besar terhadap governance. 
Stakeholders lebih terlibat, menginginkan transparansi dan akuntabilitas. 


Meningkatnya ekspektasi akan penilaian risiko di semua tingkat organisasi (keuangan, operasi, 


regulasi, IT). 


Kompleksitas dalam undang-undang, peraturan, dan standar telah meningkat secara signifikan. 


Telah terjadi kerusakan dalam skala besar terhadap tata kelola dan pengendalian internal dalam 
20 tahun terakhir. 


Adanya ekspektasi yang besar terkait pencegahan dan deteksi fraud di setiap tingkatan. 


Permintaan akan pelaporan internal dan eksternal yang update dan bermutu. 


Berikut ini perbandingan antara COSO 1992 dan COSO 2013. 


Gambar 4.2. Perbandingan COSO 1992 dan COSO 2013 


A 


information A 
Copimunrcatpot 


Control Activities 


Control Activities 


Rak Assessment 


E ; 
nformstln & Communication) / 


Control Environment oring Activities 


Beberapa hal baru yang diakomodir dalam COSO 2013 adalah: 


1. 


10 


Perluasan ruang lingkup dari tujuan pelaporan, bukan hanya pelaporan informasi keuangan. 
Mempertimbangkan perubahan dalam lingkungan bisnis dan operasional. 


Formalisasi konsep dasar dalam COSO 1992 menjadi 17 prinsip. 
Adanya titik fokus (points of focus) yang menyoroti karakteristik penting dari masing-masing 


prinsip. 


Tambahan pendekatan dan contoh-contoh yang relevan dari tujuan operasi, compliance, dan 


nonfinancial reporting. 
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6. Pertimbangan eksplisit penyedia layanan outsourcing dan pihak ketiga lainnya yang 


mempengaruhi pengendalian internal. 


7. Pertimbangan yang eksplisit tentang potensi/raac/ dalam penilaian risiko. 


8. Pentingnya peran judgement dalam desain, implementasi, dan dalam meng-assess efektivitas 


pengendalian internal. 


9. Prinsip spesifik terkait dengan teknologi informasi. 


Ada 17 prinsip dari komponen-komponen pengendalian internal dalam COSO 2013. 


Tabel 2.1 Prinsip Pengendalian Intern COSO 2013 


Lingkungan Pengendalian 


Menunjukkan komitmen terhadap integritas dan nilai-nilai etika 


2. Melakukan pengawasan yang bertanggung jawab 
3. Menetapkan struktur, wewenang dan tanggung jawab 
4. Menunjukkan komitmen terhadap kompetensi 
5. Menegakkan akuntabilitas 
Penilaian Risiko 
6. Menentukan tujuan yang sesuai 
7. Identifikasi dan analisis risiko 
8. Penilaian risiko atas fraud 
9. Identifikasi dan analisis perubahan yang signifikan 
Kegiatan Pengendalian 
10. Pemilihan dan pengembangan kegiatan pengendalian 
11. Pemilihan dan pengembangan pengendalian terhadap terknologi 
12. Implementasi melalui kebijakan dan prosedur 
Informasi dan Komunikasi | | 
13. Menggunakan informasi yang relevan 
14. Komunikasi secara internal 
15. Komunikasi secara eksternal 
Pemantauan 
16. Melakukan evaluasi berkelanjutan dan/atau terpisah 
17. Mengevaluasi dan mengomunikasikan "deficiencies' (kelemahan) 


Sumber: COSO Internal Control - Integrated Framewo 


rk 2013, diolah. 
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C. KOMPONEN PENGENDALIAN INTERNAL 


COSO memberikan suatu kerangka kerja pengendalian intern secara umum, yang didesain untuk 
memuaskan kebutuhan semua kelompok yang berhubungan dengan sistem pengendalian intern, yaitu 
manajemen entitas, auditor ekstern dan intern, manajemen keuangan, akuntan manajemen, dan 
pemegang otoritas (pasar modal). Tujuan sistem pengendalian intern menjadi luas, mencakup tidak 
hanya untuk menjamin keandalan pelaporan keuangan, tetapi juga untuk efektivitas dan efesiensi 


operasi, serta kepatuhan terhadap hukum dan peraturan yang berlaku. 


COSO merumuskan 5 komponen utama pengendalian internal yang saling berkaitan, yaitu: 
1: Lingkungan pengendalian (control environment) 

2. Penilaian risiko (risk assessment) 

3. Aktivitas pengendalian (control activities) 

4. Informasi dan komunikasi (information and communication) 


5. Pemantauan (monitoring) 
Menurut COSO, komponen-komponen tersebut bersumber dari cara manajemen (pimpinan) 
menyelenggarakan tugasnya dan oleh karena itu komponen ini menyatu (built in) dan terjalin 


(permeated) dalam proses bisnis. 


Konsep COSO tersebut diadopsi oleh PP Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern 
Pemerintah (SPIP), dengan penjelasan masing-masing komponen utama atas unsur pengendalian 


intern adalah sebagai berikut: 


1. Lingkungan Pengendalian 


PP Nomor 60 Tahun 2008 mewajibkan pimpinan instansi pemerintah untuk menciptakan dan 
memelihara lingkungan pengendalian yang menimbulkan perilaku positif dan kondusif untuk 
penerapan sistem pengendalian intern dalam lingkungan kerjanya. Hal ini merupakan komponen 
yang sangat penting dan menjadi unsur dasar di dalam SPIP. Kemampuan pimpinan untuk 
menciptakan dan memelihara lingkungan kerja yang kondusif akan menjadi motivasi kuat bagi 
para pegawai untuk memberikan yang terbaik dalam pelaksanaan pekerjaan. Sebaliknya, 


pimpinan yang tidak/ kurang kompeten dalam menciptakan 
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lingkungan yang positif akan berpotensi mempengaruhi pegawai untuk melakukan hal-hal negatif 


yang dapat merugikan instansi. 


Untuk menciptakan lingkungan pengendalian seperti dimaksud PP tersebut, pimpinan instansi 


dapat menerapkannya melalui sub unsur-sub unsur lingkungan pengendalian sebagai berikut: 


a. Penegakan integritas dan nilai etika; 

b. Komitmen terhadap kompetensi; 

C. Kepemimpinan yang kondusif; 

d. Pembentukan struktur organisasi yang sesuai dengan kebutuhan; 


e. Pendelegasian wewenang dan tanggung jawab yang tepat; 


f. Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya 


manusia; 
g. Perwujudan peran aparat pengawasan intern pemerintah yang efektif; dan 
h. Hubungan kerja yang baik dengan instansi pemerintah terkait. 


Poin a. sampai dengan h. di atas merupakan delapan sub unsur lingkungan pengendalian. Di 
dalam setiap sub unsur terdapat dua jenis pengendalian, yaitu hard control dan soft control. Hard 


control adalah tipe pengendalian internal yang telah lazim ditemui dan dinilai oleh auditor. 


Hard control biasanya bersifat formal, objektif, dan dapat dikuantifikasi. Karena itu, pengendalian 
tipe ini mudah untuk dibuktikan keberadaannya. Sementara itu soft control didefinisikan sebagai 
pengendalian yang didasarkan pada faktor-faktor yang intangible seperti kejujuran dan etika. 
Pengendalian-pengendalian ini bersifat informal, cenderung subjektif, dan tidak dapat 
dikuantifikasi. Pengendalian tipe ini lebih sulit dibuktikan keberadaannya dengan prosedur audit 


yang biasa dilakukan. 


Contoh-contoh dari hard control dan soft control di 8 sub unsur lingkungan pengendalian antara 


lain sebagai berikut. 
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Tabel 2.2 Contoh Hard Control dan Soft Control 


Sub unsur 


Hard Controls 


Soft Controls 


Integritas dan Nilai Etika 


Dokumen kode etik 


Para pegawai berperilaku sesuai 
dengan etika dan integritas yang tinggi 


Komitmen terhadap Kompetensi 


Anggaran pengembangan kompetensi 
pegawai di dalam DIPA/DPA 


Pegawai memiliki skill dan 
pengalaman yang dibutuhkan 


Kepemimpinan yang Kondusif 


Standard Operating Procedures 
(SOP) penyusunan surat keputusan 
pimpinan 


Pimpinan mempertimbangkan risiko 
dalam mengambil keputusan 


Struktur Organisasi 


Bagan struktur organisasi 


Struktur organisasi yang mampu 
mempermudah identifikasi risiko 


Pendelegasian Wewenang dan 
Tanggung Jawab yang Tepat 


Uraian tugas pokok dan fungsi 
masing-masing pegawai 


Tanggungjawab dan akuntabilitas 
dikomunikasikan dan dimengerti 
dengan jelas 


Kebijakan Sumber Daya Manusia 
(SDM) 


Perekrutan pegawai dengan 
kualifikasi tertentu 


Perekrutan pegawai yang bebas dari 
korupsi, kolusi, dan nepotisme 


Peran Aparat Pengawasan Internal 
Pemerintah (APIP) yang Efektif 


Audit oleh Inspektorat 


Inspektorat yang berfungsi baik yang 
mampu mencegah penyimpangan 


2. Penilaian Risiko 


Tahap penilaian risiko (risk assessment) merupakan tahap awal dalam pembangunan infrastruktur 


pengendalian. Melalui penilaian risiko dapat diketahui risiko yang dihadapi unit kerja, untuk 


kemudian ditetapkan kebijakan respon terhadap risiko (mitigate, avoid, transfer, share), serta 


kegiatan pengendalian yang diperlukan. Risiko diidentifikasi pada konteks terkait tujuan entitas 


maupun aktivitas. Agar risiko tersebut dapat diidentifikasi dengan baik, maka perlu terlebih dahulu 


dipahami proses bisnis/kegiatan organisasi. 


Penilaian risiko dapat dilakukan dengan langkah-langkah sebagai berikut: 


a. Penetapan Tujuan Instansi 


Identifikasi risiko dimulai dengan penetapan konteks/ tujuan organisasi yang jelas dan 


konsisten, Penetapan konteks dilakukan dengan menjabarkan latar belakang, ruang 
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lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal. Oleh 
karena itu, sebelum melakukan penilaian risiko, organisasi perlu melakukan analisis 
lingkungan internal dan eksternal yang dapat menimbulkan risiko dan mempengaruhi 


pencapaian tujuan organisasi. 
b. Penetapan Tujuan Kegiatan 


Penetapan konteks/tujuan secara jelas dan konsisten juga diiakukan di tingkat kegiatan/ 


aktivitas. 
C. Identifikasi Risiko 


Sebelum identifikasi risiko, kriteria evaluasi dan struktur analisis risiko perlu ditetapkan 
dalam rangka menentukan strategi aktivitas yang konsisten dan strategi manajemen 
terintegrasi dengan rencana penilaian risiko. Strategi aktivitas diperlukan untuk menentukan 


kriteria evaluasi mana yang akan dianalisis sesuai dengan struktur analisis. 


Identifikasi risiko adalah proses menetapkan apa, di mana, kapan, mengapa, dan 
bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian 
tujuan. Proses ini meliputi identifikasi risiko yang mungkin terjadi pada level entitas maupun 
aktivitas. Salah satu aspek penting dalam identifikasi risiko adalah memperoleh data risiko 


sebanyak-banyaknya. 
d. Analisis Risiko 


Semua risiko yang telah diidentifikasi harus dianalisis untuk mengestimasi kemungkinan 
munculnya (probabilitas) dan besaran dampak risiko terhadap pencapaian tujuan entitas 


maupun aktivitas. 


Hasil penilaian risiko ini kemudian digunakan sebagai dasar dalam membangun 


infrastruktur dan melakukan aktivitas pengendalian. 


Kegiatan Pengendalian 


Unsur sistem pengendalian intern yang ketiga adalah kegiatan pengendalian. Kegiatan 
pengendalian intern adalah kebijakan dan prosedur yang dapat membantu memastikan 
dilaksanakannya arahan pimpinan organisasi untuk mengurangi risiko yang telah diidentifikasi 


selama proses penilaian risiko. 
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Kebijakan dibuat untuk mengarahkan apa yang seharusnya dikerjakan dan berfungsi sebagai 
dasar bagi penyusunan prosedur. Prosedur adalah rangkaian urut-urutan tindakan yang 
dilakukan oleh satu atau beberapa orang dalam melaksanakan kegiatan tertentu. Kebijakan dan 
prosedur tertulis harus ditetapkan oleh manajemen, sebagai dasar pelaksanaan kegiatan 


pengendalian. 


Pengertian yang lebih luas dari kegiatan pengendalian mencakup bukan hanya kebijakan dan 
prosedur tetapi juga teknik dan mekanismenya. Teknik merupakan penjelasan yang lebih rinci 
dari prosedur sedangkan mekanisme menjelaskan siapa dan bagaimana menjalankan teknik 


tersebut. 


Kegiatan pengendalian yang diterapkan dalam suatu organisasi dapat berbeda dengan yang 
diterapkan pada organisasi lain. Perbedaan penerapan ini antara lain disebabkan oleh 


perbedaan: 

a. visi, misi, dan tujuan; 

b. lingkungan dan cara beroperasi; 

C. tingkat kerumitan organisasi; 

d. sejarah atau latar belakang serta budaya; dan 


e. risiko yang dihadapi. 

Merujuk ke PP No.60, pimpinan instansi pemerintah wajib menyelenggarakan kegiatan 
pengendalian sesuai dengan ukuran, kompleksitas, serta sifat dari tugas dan fungsi instansi 
pemerintah yang bersangkutan. Dalam pelaksanaannya, unsur kegiatan pengendalian memiliki 


beberapa sub unsur, sebagai berikut: 


a. reviu atas kinerja instansi pemerintah yang bersangkutan; 
b. pembinaan sumber daya manusia; 

C. pengendalian atas pengelolaan sistem informasi; 

d. pengendalian fisik atas aset; 


e. penetapan dan reviu atas indikator dan ukuran kinerja; 
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f. pemisahan fungsi; 


g. otorisasi atas transaksi dan kejadian yang penting; 


h. pencatatan yang akurat dan tepat waktu atas transaksi dan kejadian; 


i. pembatasan akses atas sumber daya dan pencatatannya; 


j. akuntabilitas terhadap sumber daya dan pencatatannya; dan 


k. dokumentasi yang baik atas sistem pengendalian intern serta transaksi dan kejadian penting. 


Dalam mengembangkan kegiatan pengendalian, instansi pemerintah harus mencapai keseimbangan 
yang tepat antara kegiatan pengendalian yang bersifat detektif dan preventif. Kegiatan pengendalian 
yang didominasi oleh pengendalian preventif, seperti prosedur otorisasi yang berbelit-belit, akan 


mengganggu kelancaran kegiatan layanan publik. 


Berdasarkan tujuan instansi pemerintah, kegiatan pengendalian berkaitan dengan operasi, laporan 
keuangan, ketaatan terhadap peraturan perundang-undangan, serta pengamanan aset negara. 
Meskipun kegiatan pengendalian berkaitan dengan salah satu tujuan pengendalian tersebut, namun 
dalam praktiknya saling berhubungan, tergantung dari lingkungannya. Kegiatan pengendalian 
tertentu dapat membantu pencapaian lebih dari satu tujuan instansi pemerintah tersebut. Jadi 
pengendalian untuk operasi juga dapat membantu menjamin keandalan laporan keuangan. 
Pengawasan laporan keuangan dapat memengaruhi ketaatan dan meningkatkan pengamanan aset 


negara. 


Kegiatan pengendalian terjadi di semua tingkat organisasi, kegiatan, unit dan fungsi instansi 
pemerintah. Kegiatan pengendalian merupakan suatu bagian yang tidak terpisahkan dari 


perencanaan, penerapan, serta reviu kinerja dari instansi pemerintah. 


Penetapan kegiatan pengendalian harus didasarkan pada hasil penilaian risiko dan 
mempertimbangkan kecukupan kegiatan pengendalian. Berdasarkan pertimbangan tersebut, 
kegiatan untuk mengendalikan risiko dikategorikan ke dalam dua hal yaitu prevention (pencegahan) 


dan mitigation (mitigasi). Perbedaan pengendalian tersebut digambarkan sebagai berikut. 
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Gambar2.3. Hubungan Pengendalian Risiko 


Probabilitas 


mitigation 


* «5- 


prevention 


Dampak 


Berdasarkan gambar di atas, prevention digambarkan sebagai kegiatan pengendalian untuk 
mengurangi probabilitas, sedang mitigasi digambarkan sebagai kegiatan pengendalian yang 


dimaksudkan untuk mengurangi dampak dari suatu kerugian yang mungkin terjadi. 


Bagaimana bentuk kedua kegiatan pengendalian ini dicontohkan dalam kegiatan pengendalian 
kebakaran. Kegiatan prevention diibaratkan sebagai kegiatan terhadap pembatasan penggunaan 
bahan-bahan yang mudah terbakar dan pelarangan kegiatan yang membahayakan seperti 
merokok. Sedangkan kegiatan mitigasi diibaratkan sebagai kegiatan menyiapkan alat pemadam 


kebakaran, sehingga apabila terjadi kebakaran dapat digunakan untuk mengurangi dampaknya. 


Untuk mengelola risiko yang berkaitan dengan pencapaian tujuan masing-masing kegiatan, 
pimpinan instansi pemerintah harus selalu memerhatikan kedua aspek pengendalian di atas. 
Dengan demikian, setiap kali melakukan penilaian risiko selalu diiringi dengan kegiatan 


pengendalian untuk mengurangi probabilitas dan dampaknya. 


Selain hal di atas, berkaitan dengan perkembangan penggunaan teknologi informasi, analisis dan 
evaluasi kecukupan kegiatan pengendalian juga mencakup pengendalian terhadap sistem 


informasi terkomputerisasi yaitu, meliputi pengendalian umum dan pengendalian aplikasi. 
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Agar kegiatan pengendalian menjadi efektif, maka harus memenuhi kriteria: 

a. pengendalian yang tepat pada tempat yang tepat dan terhadap risiko terkait; 
b. sesuai dengan rencana organisasi yang ditetapkan; 

C. memerhatikan biaya dan manfaatnya; 


d. bersifat komprehensif, logis, dan berhubungan langsung dengan tujuan pengendalian. 


Informasi dan Komunikasi 


Unsur pengendalian intern keempat adalah informasi dan komunikasi. Sub unsur dari unsur 


informasi dan komunikasi adalah: 
a. Sarana komunikasi 
b. Manajemen sistem informasi 


Instansi pemerintah harus memiliki informasi yang relevan dan dapat diandalkan baik informasi 
keuangan maupun non keuangan, yang berhubungan dengan peristiwa-peristiwa eksternal serta 
internal. Informasi tersebut harus direkam dan dikomunikasikan kepada pimpinan instansi 
pemerintah dan di seluruh instansi lainnya yang memerlukannya dalam bentuk serta dalam 
kerangka waktu, yang memungkinkan yang bersangkutan melaksanakan pengendalian intern dan 


tanggung jawab operasional. 


Informasi adalah data yang telah diolah yang dapat digunakan untuk pengambilan keputusan 
dalam rangka penyelenggaraan tugas dan fungsi instansi pemerintah. Instansi pemerintah harus 
memiliki informasi yang relevan dan dapat diandalkan, baik informasi kKeuangan maupun non 
keuangan yang berhubungan dengan peristiwa-peristiwa eksternal serta internal. Informasi yang 
relevan dan dapat diandalkan tersebut harus diidentifikasi, diperoleh, dan didistribusikan kepada 
pimpinan semua tingkatan dan pihak yang berhak; dengan rincian yang memadai, bentuk, dan 
waktu yang tepat sehingga memungkinkan mereka dapat melaksanakan tugas dan tanggung 


jawab pengendalian intern dan operasional secara efisien dan efektif. 


Informasi dari sumber internal dan eksternal didapat dan disampaikan kepada pimpinan instansi 
pemerintah sebagai bagian dari pelaporan instansi sehubungan dengan pencapaian kinerja 


operasi dalam mencapai tujuan instansi yang telah ditetapkan. 
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Informasi yang perlu diidentifikasi, diperoleh, dan dilaporkan adalah informasi internal yang 
penting dalam mencapai tujuan instansi pemerintah, termasuk informasi yang berkaitan dengan 
faktor-faktor keberhasilan yang kritis dan informasi eksternal yang relevan, yang dapat 
memengaruhi tercapainya misi, maksud, dan tujuan instansi pemerintah, terutama yang berkaitan 
dengan perkembangan peraturan perundang-undangan serta perubahan politik dan ekonomis. 
Agar informasi yang diidentifikasi dan dilaporkan adalah informasi yang berkualitas, maka 


informasi tersebut harus memenuhi syarat berikut. 

a. Sesuai kebutuhan, yaitu informasi yang diperlukan telah tersedia. 
b. Tepat waktu, yaitu informasi tersedia ketika diperlukan. 

C. Mutakhir, yaitu informasi yang terkini telah tersedia. 


d Akurat, yaitu informasi yang diperoleh adalah benar. 


e. Dapat diakses, yaitu informasi dapat diperoleh dengan mudah oleh pihak-pihak yang terkait. 


Komunikasi adalah proses penyampaian pesan atau informasi dengan menggunakan simbol atau 
lambang tertentu baik secara langsung maupun tidak langsung untuk mendapatkan umpan balik. 
Proses komunikasi merupakan tahap-tahap antara komunikator dengan komunikan yang 
menghasilkan pentransferan dan pemahaman makna. Menurut Stephen P. Robbins, proses 


komunikasi meliputi 7 (tujuh) bagian, yakni: 
" sumber komunikasi (komunikator), 

" pengodean, 

m pesan, 

" saluran, 

mu pendekodean, 

" penerima (komunikan), 


" umpan balik. 


2016 \Pusdiklatwas BPKP 


Efektivitas dari komunikasi terlihat dari umpan balik yang ditunjukkan oleh pihak yang menerima 
pesan. Umpan balik itu akan menunjukkan apakah telah terjadi kesamaan pemahaman atas 


makna pesan yang disampaikan. 


Komunikasi terdiri dari komunikasi internal dan eksternal. Komunikasi internal dan eksternal yang 
efektif harus terjadi baik secara vertikal maupun horizontal melalui komunikasi dua arah serta 


lintas unit/instansi. 


Pimpinan instansi pemerintah harus memastikan terjalinnya komunikasi internal dan eksternal 
yang efektif terutama yang memberikan dampak signifikan terhadap program, proyek, operasi, 
dan kegiatan lainnya termasuk penganggaran dan pendanaannya. Untuk menyelenggarakan 
komunikasi yang efektif, pimpinan instansi pemerintah harus menyediakan dan memanfaatkan 
berbagai bentuk sarana komunikasi dalam 
mengomunikasikan informasi penting kepada pimpinan, pegawai, dan pihak lainnya, serta 
mengelola, mengembangkan, dan memperbarui sistem informasi secara terus menerus untuk 


meningkatkan kegunaan dan keandalan informasi. 


Dukungan/ komitmen pimpinan instansi pemerintah terhadap pengembangan teknologi informasi 
ditunjukkan dengan menyediakan sumber daya manusia dan pendanaan yang memadai terhadap 


upaya pengembangan tersebut. 


Pemantauan Pengendalian Intern 


Pemantauan merupakan unsur pengendalian intern yang kelima atau terakhir. Pemantauan 
sistem pengendalian intern dilaksanakan melalui pemantauan berkelanjutan, evaluasi terpisah, 
dan tindak lanjut rekomendasi hasil audit dan reviu lainnya. Pemantauan berkelanjutan 
diselenggarakan melalui kegiatan pengelolaan rutin, supervisi, pembandingan, rekonsiliasi, dan 


tindakan lain yang terkait dalam pelaksanaan tugas. 


Evaluasi terpisah diselenggarakan melalui penilaian sendiri, reviu, dan pengujian efektivitas 
sistem pengendalian intern yang dapat dilakukan oleh aparat pengawasan intern pemerintah atau 


pihak eksternal pemerintah dengan menggunakan daftar uji. 


Tindak lanjut rekomendasi hasil audit dan reviu lainnya harus segera diselesaikan dan 
dilaksanakan sesuai dengan mekanisme penyelesaian rekomendasi hasil audit dan reviu lainnya 


yang ditetapkan. 
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a. Pemantauan Berkelanjutan (On-Going Monitoring) 


Pemantauan atas pengendalian intern yang sedang berjalan menyatu dalam kegiatan rutin 


dan berulang. Pemantauan ini mencakup setiap komponen sistem pengendalian internal 


dan kegiatan untuk mencegah terjadinya kondisi yang tidak lazim, tidak etis, tidak 


ekonomis, tidak efisien, dan tidak efektif dalam pelaksanaan kegiatan. Kegiatan monitoring 


dalam suatu organisasi merupakan tangung jawab seluruh jenjang organisasi namun 


dengan fokus yang berbeda-beda, yaitu: 


1) 


Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan 
dilaksanakan sebagaimana mestinya. Setiap pegawai hendaknya melakukan 
pengecekan terhadap pekerjaan sebelum disampaikan kepada atasannya. 


Penyimpangan pada tingkat ini segera dapat dideteksi. 


Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah kendalinya 
guna memastikan bahwa seluruh pegawai yang ada di bawah kendalinya telah 


melaksanakan tanggung jawabnya masing-masing. 


Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem 
pengendalian intern telah berfungsi pada masing-masing unit dalam organisasi dan 
sejauh mana para penyelia telah melakukan pemantauan pada bagian yang menjadi 


tanggung jawabnya. 


Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi dalam 
lingkup yang menyeluruh, yaitu pemantauan apakah tujuan organisasi telah tercapai. 
Pimpinan juga melakukan pemantauan atas keberadaan tantangan dan peluang, 
baik dari sisi internal maupun eksternal yang mungkin membutuhkan perubahan 


dalam perencanaan organisasi. 


Dalam melakukan pemantauan pengendalian intern, hal-hal yang menjadi titik perhatian 
adalah berikut. 


1) 


Pimpinan memiliki strategi untuk memastikan bahwa monitoring yang sedang 


berjalan efektif dan melaksanakan evaluasi terpisah apabila terjadi keadaan kritis. 


Dalam kegiatan rutin, terdapat informasi yang menggambarkan pengendalian internal 


berfungsi dengan baik. 


2016 \Pusdiklatwas BPKP 


3) Komunikasi dengan pihak luar dikonfirmasikan dengan data intern yang dimiliki 


organisasi. 


4) Struktur organisasi yang sesuai kebutuhan dan adanya supervisi untuk mengawasi 


fungsi pengendalian internal. 
5) Terdapat pembandingan data yang dicatat dengan fisiknya secara periodik. 


6) Terdapat respon yang segera terhadap rekomendasi auditor ekstern dan intern 


sebagai alat untuk memperkuat pengendalian internal. 


7) Pertemuan rutin pimpinan dengan staf dan pelaksanaan pelatihan digunakan untuk 
memperoleh umpan balik untuk mengetahui apakah pengendalian telah berjalan 
efektif. 


8) Terdapat pemantauan secara teratur kepada seluruh karyawan untuk mengetahui 


tingkat pemahaman dan kepatuhan terhadap aturan perilaku yangberlaku. 


9) Terdapat efektivitas kegiatan audit internal. 


b. Evaluasi yangTerpisah (Separate Evaluations) 


Evaluasi terpisah adalah penilaian secara periodik atas kinerja organisasi dibandingkan 
dengan standar pengukuran yang ada atau yang telah disepakati. Ruang lingkup dan 
frekuensi evaluasi yang terpisah bergantung pada penilaian risiko dan efektivitas prosedur 
pemantauan yang sedang diterapkan. Evaluasi ini bermanfaat untuk memusatkan secara 
langsung kepada efektivitas pengendalian pada suatu waktu tertentu dan dapat berbentuk 


penilaian mandiri (self assessment). 


Semua penyimpangan yang dijumpai dalam pemantauan pengendalian intern ini, baik yang 
sedang berlangsung maupun yang telah berjalan, harus dikomunikasikan kepada pihak 


yang terkait untuk mengambil tindakan perbaikan. 
Dalam melakukan evaluasi terpisah, perlu memerhatikan hal-hal berikut. 


1) Ruang lingkup dan frekuensi evaluasi yang terpisah terhadap sistem pengendalian 


intern. 
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2) Terdapat metode yang logis dan sesuai kebutuhan untuk mengevaluasi pengendalian 


intern. 


3) Bila evaluasi terpisah dilakukan oleh auditor internal maka harus dilaksanakan oleh 


sumber daya manusia yang memiliki kemampuan yang memadai dan independen. 
4) Kelemahan yang ditemukan selama evaluasi terpisah segera diatasi. 


Tindak lanjut atas temuan audit dilakukan untuk memastikan bahwa temuan audit dan 
reviu lainnya segera diselesaikan. Hal-hal yang harus dilakukan organisasi dalam tindak 


lanjut atas temuan audit adalah sebagai berikut. 


1) Organisasi memiliki mekanisme untuk memastikan adanya penyelesaian atas temuan 


hasil audit dan reviu lainnya dengan segera. 


2) Pimpinan organisasi tanggap atas temuan-temuan dan rekomendasi audit dan reviu 


lainnya yang bertujuan memperkuat sistem pengendalian internal. 


3) Organisasi melakukan tindak lanjut yang sesuai dengan temuan dan rekomendasi 


audit serta reviu lainnya. 


Dalam tahap penyelenggaraan SPIP, langkah-langkah penyelenggaraan SPIP didasarkan pada 
kerangka pemikiran siklus penyelenggaraan SPIP sebagaimana terlihat pada gambar4.3. Meskipun 
dengan menggunakan pendekatan siklus, pembangunan SPIP tidak secara kaku harus selalu mulai dari 
satu tahapan tertentu, karena dengan siklus penyelenggaraan SPIP maka tahapan akan selalu berputar 
dan kembali pada suatu tahapan yang sama secara terus menerus dengan mendasarkan seluruh siklus 
pada dokumen yang disebut rencana tindak pengendalian (RTP). Siklus penyelenggaraan SPIP 
diharapkan secara kontinyu akan dapat mengintegrasikan SPIP ke dalam proses-proses 
penyelenggaraan pemerintahan. Penyelenggaraan sistem pengendalian intern pemerintah (SPIP) harus 
disesuaikan dengan karakteristik setiap instansi, yang meliputi tugas dan fungsi utama instansi, sifat, 


tujuan, dan kompleksitas, serta risiko-risiko yang dihadapi oleh masing- masing instansi. 
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Gambar 2.4. Siklus Penyelenggaraan SPIP 
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D. JENIS-JENIS PENGENDALIAN 


Terdapat berbagai tipe pengendalian yang dapat digunakan organisasi dalam meningkatkan 
kemungkinan tercapainya tujuan organisasi. Dalam setiap organisasi, nomenklatur jenis pengendalian 
mungkin berbeda-beda, namun yang menjadi fokus adalah substansi dari pengendalian tersebut. Berikut 


ini beberapa jenis pengendalian dalam organisasi. 


1. Pengendalian Kunci dan Pengendalian Tambahan (Key Controls and Secondary Controls) 


Pengendalian kunci, sering disebut pengendalian utama, didesain untuk mengurangi risiko- risiko 
utama yang menghalangi pencapaian tujuan organisasi. Kegagalan dalam menerapkan 
pengendalian kunci yang cukup dan efektif dapat mengakibatkan kegagalan bukan hanya dalam 


mencapai tujuan organiasasi namun juga mengancam keberlangsungan organisasi. 


Pengendalian tambahan adalah pengendalian yang didesain untuk (1) memitigasi risiko di luar 
risiko utama organisasi, (2) secara parsial mengurangi level risiko ketika pengendalian kunci tidak 


berjalan efektif. Pengendalian tambahan mengurangi level risiko ketika 
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pengendalian kunci tidak berjalan efektif, namun tidak cukup memadai untuk berdiri sendiri dalam 


memitigasi risiko utama. 


Pengendalian Preventif, Detektif, Korektif, dan Direktif 


Pengendalian preventif didesain untuk mencegah terjadinya hal yang tidak diinginkan. Karena 
lingkungan yang kompleks dan dinamis dalam operasi organisasi, sulit untuk mendesain 
pengendalian preventif yang ekonomis namun efisien. Untuk itu, banyak organisasi yang 
mengombinasikan pengendalian preventif dan pengendalian detektif ketika mendesain sistem 
pengendalian intern yang efektif dan efisien. Contoh dari pengendalian preventif adalah 
pengendalian terhadap akses fisik dan logis seperti pintu yang terkunci dan user /D dengan 


password yang unik. 


Pengendalian detektif didesain untuk menemukan kejadian yang tidak diinginkan, namun telah 
terjadi. Pengendalian detektif yang efektif harus terjadi secara tepat waktu (sebelum peristiwa 
yang tidak diinginkan berdampak negarif pada organiasi). Contoh pengendalian detektif termasuk 


kamera pengaman (CCTV) untuk mengidentifikasi akses fisik yang tidak diinginkan. 


Pengendalian korektif adalah pengendalian yang memperbaiki kelalaian dan kesalahan yang 
terdeteksi. Contoh dari pengendalian korektif adalah sistem pengeluaran kas memberi tanda {flag) 


terhadap duplikasi pembayaran. 


Pengendalian direktif memberikan arahan yang jelas tentang tindakan apa yang harus dilakukan 
untuk menyebabkan atau mendorong peristiwa yang diinginkan terjadi. Contoh, petunjuk 


perakitan barang menyediakan cara kepada individu yang terlibat dalam proses produksi barang. 


Pengendalian Tingkat Entitas, Tingkat Proses dan Tingkat Transaksi 


Pengendalian tingkat entitas berkaitan dengan lingkungan organisasi. Pengendalian ini didesain 
untuk secara langsung memitigasi risiko yang mungkin terjadi pada tingkat organisasi. 


Pengendalian tingkat entitas termasuk: 
Pengendalian yang berhubungan dengan lingkungan pengendalian 


Pengendalian terhadap management override 
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Proses penilaian risiko organisasi 
Pengendalian untuk memonitor hasil operasi organisasi 


Pengendalian untuk memonitor pengendalian lainnya, termasuk kegiatan fungsi audit intern 


dan program self-assessment. 
Pengendalian atas proses pelaporan keuangan akhir tahun 


Pengendalian pada tingkat proses lebih detail daripada pengendalian tingkat entitas. 
Pengendalian ini ditetapkan oleh pemilik proses untuk mengurangi risiko yang mengancam 


pencapaian tujuan proses. Contoh: 


Rekonsiliasi dari akun-akun utama 
Verifikasi fisik atas aset, termasuk inventarisasi aset 


Proses supervisi dan evaluasi kinerja terhadap pegawai 


Pengendalian tingkat transaksi lebih detail lagi dari pengendalian tingkat proses dan mengurangi 
risiko yang terkait dengan kegiatan operasional organisasi. Pengendalian ini didesain untuk 
memastikan bahwa kegiatan operasional individual dilakukan secara akurat pada saat yang tepat. 


Contoh pengendalian ini: 


Otorisasi 
Dokumentasi 
Pemisahan fungsi 


Pengendalian aplikasi IT (input, proses, output) 
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E: 


KETERBATASAN PENGENDALIAN INTERNAL 


Kegagalan yang sering terjadi dalam sistem pengendalian internal, antara lain, dikarenakan hal-hal 


sebagai berikut: 
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Pertimbangan yang kurang matang 


Efektivitas pengendalian dibatasi oleh keterbatasan manusia itu sendiri. Keputusan yang diambil 
sangat dipengaruhi oleh beberapa pertimbangan atas waktu yang tersedia, informasi yang 
dimiliki, dan tekanan yang berasal dari lingkungan tertentu. Ada kalanya beberapa keputusan 
yang diambil secara demikian ini tidak memberikan hasil efektif, berbeda dengan yang 


diharapkan. 


Gagal menerjemahkan suatu perintah 


Walaupun sistem pengendalian internal telah dirancang dengan baik, sistem tersebut masih 
mungkin mengalami kegagalan yang diakibatkan adanya pegawai yang, mungkin, 


menyalahartikan suatu perintah. 


Mereka membuat pertimbangan yang salah atau membuat kesalahan sebagai akibat 
ketidaktahuan, keteledoran, ataupun kealpaan. Kegagalan sistem ini akan lebih besar 
pengaruhnya jika yang membuat kesalahan adalah seorang pimpinan, karena secara otomatis 


akan berdampak pada pengambilan keputusan eselon di bawahnya. 


Pengabaian Manajemen 


Pengendalian internal hanya dapat berjalan secara efektif jika masing-masing pelaksana dari atas 
sampai ke bawah melaksanakan tugas dan fungsi sesuai dengan kewenangan dan tanggung 
jawabnya. Meskipun suatu organisasi memiliki sistem pengendalian yang memadai, jika salah 
satu atau beberapa dari unsur pimpinan atau pelaksana, mengabaikan pengendalian tersebut 


akan mengakibatkan tidak efektifnya sistem pengendalian yang bersangkutan. 


Istilah "pengabaian manajemen" ini ditujukan pada tindakan manajemen yang mengabaikan 
pengendalian dengan tujuan untuk kepentingan pribadi atau untuk meningkatkan penyajian 


kondisi laporan kegiatan atau keuangan organisasi yang bersangkutan. 
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Seorang pimpinan unit atau bahkan pimpinan suatu organisasi, mungkin, mengabaikan sistem 
pengendalian dengan berbagai alasan, misal meningkatkan laporan kegiatan/kinerja organisasi 
untuk menutupi terjadinya ketidaktepatan dalam pencapaian target yang telah ditentukan, 
meningkatkan laporan pendapatan untuk memenuhi anggaran pendapatan yang tidak realistis, 
untuk memenuhi proyeksi pendapatan guna mendukung laporan realisasi pendapatan secara 
keseluruhan, atau bahkan untuk menyembunyikan adanya tindakan melawan hukum/ketentuan 


yang berlaku. 


Praktik-praktik pengabaian ini juga termasuk penyalahgunaan data/laporan kepada bank, 
konsultan hukum, instansi pengawasan, pemasok, dan sebagainya dengan cara menerbitkan 
dokumen palsu. Istilah "pengabaian pengawasan" di sini berbeda dengan "intervensi manajemen" 
yang merupakan tindakan manajemen mengabaikan/mengesampingkan kebijakan atau prosedur 
yang ada, tetapi justru ditujukan untuk kepentingan organisasi. Intervensi manajemen diperlukan 
untuk mengatasi adanya kejadian/transaksi yang tidak biasa dan tidak akan mengakibatkan 
kerugian bagi organisasi jika ditangani dengan tidak tepat melalui sistem pengendalian. Hal ini 
karena tidak ada satu sistem pun yang dapat dirancang untuk mengantisipasi setiap kondisi yang 


terjadi atau akan terjadi secara mendadak. 


Kolusi 


Terjadinya kolusi dari dua pihak atau lebih dapat mengakibatkan kegagalan dalam sistem 
pengendalian internal. Para pelaku melakukan perubahan atau menyembunyikan data keuangan 
atau informasi manajemen lainnya dengan suatu cara yang tidak dapat diidentifikasikan oleh 


pengawasan melekat. 


Kolusi antara pegawai yang memiliki kewenangan penting dengan pemasok atau pegawai 
lainnya, dapat dicontohkan sebagai berikut: pemasok memberikan barang yang dipesan dengan 
kualitas/ kuantitas yang berbeda tetapi dinyatakan dalam faktur penagihan sesuai dengan yang 
dipesan. Di lain pihak, si penerima barang memproses penerimaan barang tersebut seolah-olah 


telah diterima sesuai dengan kualitas/kuantitas yang dipesan. 
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AUDITOR INTERNAL DAN 
GRC (GOVERNMENTRISK CONTROL) 


Indikator Keberhasilan 
Setelah mempelajari bab ini, peserta diktat diharap mampu menjelaskan 
keterkaitan antara tata kelola, manajemen risiko, dan pengendalian internal. 


Suatu hal yang pasti bahwa setiap organisasi menghadapi berbagai risiko baik dari dalam maupun luar 
organisasi tersebut. Dengan perkembangan lingkungan yang serba tidak menentu dan semakin 
kompleks serta persaingan yang semakin keras, risiko-risiko yang dihadapi akan semakin kompleks 
juga. Guna mengantisipasi dan mengatasi risiko-risiko tersebut, diperlukan praktektata kelola serta 
fungsi manajemen risiko yang baik agar risiko-risiko yang ada tidak menimbulkan kejutan dan tujuan 


organisasi dapat diyakini tidak terganggu pencapaiannya. 


Kasus-kasus penyimpangan yang diakibatkan oleh kelemahan pengelolaan risiko menunjukkan betapa 


pentingnya manajemen risiko bagi suatu organisasi agar dapat terus beroperasi. 


Didorong oleh perkembangan tuntutan akuntabilitas tata kelola yang baik (good governance) atas 
efektifitas penyelenggaraan fungsi, kegiatan, dan pengambilan keputusan serta pelaksanaan kebijakan 
dan/atau peraturan dalam rangka perwujudan visi, misi, dan tujuan yang ditetapkan, suatu organisasi 


dituntut untuk lebih meningkatkan kemampuan mengelola risiko yang dihadapi secara efektif dan efisien. 


Sebagai kombinasi proses dan struktur yang diterapkan oleh manajemen untuk menginformasikan, 
mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka pencapaian tujuan, tata 
kelola bukan merupakan himpunan proses dan struktur yang berdiri sendiri, terpisah dari sistem lainnya, 


namun tata kelola memiliki keterkaitan dengan manajemen risiko dan juga pengendalian internal. 


Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat penyusunan strategi. Sebaliknya, 
manajemen risiko didasarkan pada tata kelola yang efektif (misalnya, tone at the top, selera risiko dan 


toleransi risiko, budaya risiko, dan pengawasan manajemen risiko). Tata kelola 
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yang efektif juga bergantung pada pengendalian internal dan komunikasi efektivitas pengendalian- 


pengendalian tersebut kepada manajemen. 


Tata kelola melingkupi seluruh aktivitas dalam organisasi. Struktur tata kelola haruslah sejalan dengan 
peraturan dan regulasi di mana organisasi tersebut beroperasi. Tata kelola juga harus dapat 
memastikan bahwa kebutuhan stakeholder terpenuhi. Manajemen risiko adalah lapisan berikutnya 
dalam struktur tata kelola. Manajemen risiko dimaksudkan untuk: (1) mengidentifikasi dan memitigasi 
risiko yang dapat mempengaruhi keberhasilan organisasi, dan (2) memanfaatkan peluang yang 
memungkinkan tercapainya keberhasilan organisasi. Manajemen harus mengembangkan strategi 
terbaik dalam mengelola risiko-risiko utama serta peluang-peluang yang ada. Kegiatan manajemen 
risiko tidak boleh keluar dari struktur tata kelola. Pengendalian internal digambarkan sebagai pusat, 
karena sistem pengendalian internal merupakan sebuah bagian (subset) yang tidak terpisahkan dari 
kegiatan manajemen risiko yang lebih luas. Respon risiko didesain untuk mengeksekusi strategi 


manajemen risiko. 


A PERAN AUDIT INTERN DALAM TATA KELOLA 


Aparat Pengawasan Intern Pemerintah (APIP) adalah instansi pemerintah yang dibentuk dengan tugas 
melaksanakan pengawasan intern di lingkungan pemerintah pusat dan/atau pemerintah daerah, yang 
terdiri dari Badan Pengawasan Keuangan dan Pembangunan (BPKP), Inspektorat 
Jenderal/Inspektorat/Unit Pengawasan Intern pada Kementerian/Kementerian Negara, Inspektorat 
Utama/Inspektorat Lembaga Pemerintah Non Kementerian, Inspektorat/Unit Pengawasan Intern pada 
Kesekretariatan Lembaga Tinggi Negara dan Lembaga Negara, Inspektorat Provinsi/ Kabupaten/Kota, 
dan Unit Pengawasan Intern pada Badan Hukum Pemerintah lainnya sesuai dengan peraturan 


perundang-undangan. 


Reran APIP semakin lama semakin strategis dan bergerak mengikuti kebutuhan zaman. APIP 
diharapkan menjadi agen perubahan yang dapat menciptakan nilai tambah pada produk atau layanan 
instansi pemerintah. APIP sebagai pengawas intern pemerintah merupakan salah satu unsur 
manajemen pemerintah yang penting dalam rangka mewujudkan kepemerintahan yang baik yang 


mengarah pada pemerintahan/birokrasi yang bersih. 


Reformasi birokrasi bertujuan untuk menciptakan birokrasi pemerintah yang profesional dengan 
karakteristik adaptif, berintegritas, berkinerja tinggi, bersih dan bebas korupsi, kolusi dan nepotisme, 


mampu melayani publik, netral, sejahtera, berdedikasi, dan memegang teguh nilai-nilai 
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dasar dan kode etik aparatur negara. Untuk mencapai tujuan reformasi birokrasi tersebut diperlukan 


peran APIP yang efektif, yaitu dalam wujud: 


1. memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan efektivitas 


pencapaian tujuan penyelenggaraan tugas dan fungsi instansi pemerintah (assurance activities); 


2. memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko dalam 


penyelenggaraan tugas dan fungsi instansi pemerintah (anti corruption activities); dan 


3. memberikan masukan yang dapat memelihara dan meningkatkan kualitas tata kelola 


penyelenggaraan tugas dan fungsi instansi pemerintah (consulting activities). 


Menurut Standar Audit Intern Pemerintah Indonesia, audit internal didefinisikan sebagai kegiatan yang 
independen dan obyektif dalam bentuk pemberian keyakinan (assurance activities) dan konsultansi 
(consulting activities), yang dirancang untuk memberi nilai tambah dan meningkatkan operasional 
sebuah organisasi (auditee). Kegiatan ini menolong organisasi [auditi] mencapai tujuannya dengan cara 
menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari 


proses manajemen risiko, kontrol (pengendalian), dan tata kelola (sektor publik). 


Audit internal telah mengalami evolusi yang pesat hingga saat ini. Risiko yang bervariasi, dan juga 
semakin kompleks seiring berkembangnya sistem keuangan saat ini, menjadikan peran internal audit 
yang kuat semakin diperlukan . Audit internal semula berorientasi pada bidang akuntansi menjadi 
berorientasi pada bidang manajemen. Fokus audit internal telah mengalami pergeseran (perubahan). 
Pada masa lalu fokus utama peran auditor internal sebagai watchdog, sehingga perannya kurang 
disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari profesi 
internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu antara pemeriksa 


(auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan. 


Pada saat ini proses auditing modern telah bergeser sebagai konsultan intern (internal consultant) yang 
memberi masukan (input) untuk perbaikan (improvement) atas sistem yang telah ada serta berperan 
sebagai katalis (catalyst). Peran konsultan membawa internal auditor untuk selalu meningkatkan 
pengetahuan & ketrampilan (skill & knowledge) baik tentang profesi auditor maupun aspek bisnis 
(business object), sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu 


masalah. 
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Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagi internal 
auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan audit berbagai fungsi/bagian di 
organisasi. Selain sebagai konsultan, auditor internal harus mampu berperan sebagai katalisator, yaitu 
memberikan jasa kepada manajemen melalui saran-saran yang bersifat konstruktif dan dapat 
diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat yang berfungsi uniuk 
mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal auditor diibaratkan sebagai 
katalis, internal auditor tidak ikut dalam kegiatan operasional perusahaan, namun turut serta 
bertanggung iawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikan 


kepada manajemen operasional. 


Sesuai dengan Standar Pelaksanaan Audit Intern Tahun 2014 Paragraf 3000, kegiatan audit intern yang 
dilakukan oleh APIP haruslah menambah nilai auditi (dan pemangku kepentingan) ketika memberikan 
jaminan obyektif dan relevan, dan berkontribusi terhadap efektifitas dan efisiensi proses tata kelola, 


manajemen risiko, dan pengendalian dengan menggunakan pendekatan sistematis dan disiplin. 


Proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern masing-masing tidak 
didefinisikan secara terpisah dan berdiri sendiri sebagai suatu proses dan struktur, melainkan memiliki 
hubungan antara proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern. Oleh 
karena itu, auditor harus mengevaluasi proses tata kelola sektor publik, manajemen risiko, dan 


pengendalian intern auditi secara keseluruhan sebagai satu kesatuan yang tidak dipisahkan. 


Terkait tata kelola, sesuai Standar Pelaksanaan Audit Intern Tahun 2014 Paragraf 3110, yang 
menyebutkan bahwa peran kegiatan audit intern, sebagaimana definisi audit intern, mencakup tanggung 
jawab untuk mengevaluasi dan mengembangkan proses tata kelola sektor publik sebagai bagian dari 
fungsi assurance. Kegiatan audit intern harus dapat mengevaluasi dan memberikan rekomendasi yang 
sesuai untuk meningkatkan proses tata kelola sektor publik dalam pemenuhan atas tujuan-tujuan 
berikut: 


1. Mendorong penegakan etika dan nilai-nilai yang tepat dalam organisasi auditi; 
2. Memastikan akuntabilitas dan kinerja manajemen auditi yang efektif; 


3. Mengomunikasikan informasi risiko dan pengendalian ke area-area organisasi auditi yang tepat; 
dan 
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4. Mengoordinasikan kegiatan dan mengomunikasikan informasi di antara pimpinan 


kementerian/lembaga/pemerintah daerah, auditor ekstern dan intern, serta manajemen auditi. 


Disebutkan juga bahwa kegiatan audit intern harus mengevaluasi rancangan, implementasi, dan 
efektivitas etika organisasi terkait sasaran, program, dan kegiatan, serta harus menilai apakah tata 


kelola teknologi informasi auditi mendukung strategi dan tujuan auditi. 


B. PERAN AUDIT INTERN DALAM MANAJEMEN RISIKO 


Standar Pelaksanaan Audit Intern Tahun 2014 Paragraf 3120 menyebutkan bahwa kegiatan audit intern 
harus dapat mengevaluasi efektivitas dan berkontribusi terhadap perbaikan proses manajemen risiko. 
Untuk menentukan apakah proses manajemen risiko efektif adalah melalui hasil pertimbangan 


(judgement) dari penilaian auditor, bahwa: 
1. tujuan auditi telah mendukung dan sejalan dengan visi dan misi auditi: 
2. risiko yang signifikan telah diidentifikasi dan dinilai: 


3. tanggapan risiko yang tepat telah dipilih untuk menyelaraskan risiko dengan risk appetite (selera 


risiko) auditi; dan 


4. informasi risiko yang relevan telah dipetakan dan dikomunikasikan secara tepat waktu di seluruh 
auditi, yang memungkinkan staf, manajemen auditi, dan pimpinan auditi untuk melaksanakan 


tanggung jawab masing-masing. 


Auditor internal membantu organisasi melakukan pengujian, evaluasi, pelaporan, dan 


merekomendasikan perbaikan atas kecukupan dan keefektivan proses manajemen risiko. 


Proses manajemen risiko dimonitor melalui kegiatan manajemen yang berkelanjutan, evaluasi terpisah, 
atau keduanya. Kegiatan audit intern harus dapat mengevaluasi potensi terjadinya fraud dan bagaimana 
auditi mengelola risiko fraud. Selama penugasan consulting, auditor harus mengatasi risiko sesuai 
dengan tujuan penugasan dan waspada terhadap adanya risiko signifikan lainnya. Auditor harus 
memasukkan pengetahuan tentang risiko yang diperoleh dari penugasan consulting ke dalam evaluasi 
proses manajemen risiko auditi. Ketika membantu manajemen dalam membangun atau meningkatkan 
proses manajemen risiko, auditor harus menahan diri untuk mengambil alih fungsi dan tanggung jawab 


manajemen. 
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C. PERAN AUDIT INTERN DALAM PENGENDALIAN 


Standar Pelaksanaan Audit Intern Tahun 2014 Paragraf 3130 menyatakan bahwa kegiatan audit intern 
harus dapat membantu auditi dalam mempertahankan dan memperbaiki pengendalian yang efektif 
dengan mengevaluasi efektivitas dan efisiensi serta dengan mendorong perbaikan terus- menerus. 
Kegiatan audit intern harus mengevaluasi kecukupan dan efektivitas pengendalian intern pemerintah 


dalam menanggapi risiko tata keloia auditi, operasi, dan sistem informasi mengenai: 


1. Pencapaian tujuan strategis auditi; 

2. Keandalan dan integritas informasi keuangan dan operasional; 
3. Efektivitas dan efisiensi operasi dan program; 

4. Pengamanan aset; dan 


5. Kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak. 


Auditor harus memasukkan pengetahuan tentang pengendalian intern yang diperoleh dari penugasan 


consulting dalam mengevaluasi proses pengendalian intern auditi. 


D. NILAI TAMBAH AUDIT INTERN BAGI ORGANISASI 


Menurut IIA, audit internal harus memberikan value (nilai) bagi stakeholders. Tiga elemen penting dari 
value yang diberikan audit internal bagi organisasi adalah assurance, insight, dan objectivity. Ketiga hal 


tersebut dapat digambarkan sebagai berikut: 
Gambar 3.1 Internal Auditing = Assurance, Insigh,t & Objectivity 


sal Auditi 


Objectivity 
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Organisasi mengandalkan audit internal atasjaminan (assurance) yang obyektif serta informasi dan 
pandangan mengenai efektivitas serta efisiensi proses tata kelola, manajemen risiko, dan pengendalian 
internal. Audit internal memberikan jaminan tentang tata kelola organisasi, manajemen risiko, dan 


proses pengendalian untuk membantu organisasi mencapai tujuan strategis, operasional, keuangan, 


dan kepatuhan, sebagaimana digambarkan berikut ini. 


Gambar 3.2 ASSURANCE = Governance, Risk, & Control 


Governance 


urang 


Control 


Audit internal juga merupakan katalis untuk meningkatkan efektivitas dan efisiensi organisasi dengan 


memberikan wawasan dan rekomendasi berdasarkan analisis dan penilaian data dan proses bisnis, 


sebagaimana gambar di bawah ini. 


Gambar 3.3 INSIGHT = Catalyst, Analyses, & Assessments 


Catalyst 


sight A 


Assessments 


Dan dengan komitmen untuk integritas dan akuntabilitas, audit internal juga memberikan value kepada 
organisasi sebagai sumber yang obyektif berupa saran-saran yang independen atas proses tata kelola, 


manajemen risiko, dan pengendalian internal organisasi, sebagaimana digambarkan berikut ini. 
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Gambar 3.4 OBJECTIVITY = Integrity, Accountability, & Independence 


Integrity 


| bjectivitM 


Accountability Independence 
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Bab IV 
PEMANTAUAN DAN EVALUASI 


Indikator Keberhasilcm 
Dalam bab ini, peserta diktat diharap mampu menjelaskan prinsip-prinsip pemantauan 
dan evaluasi atas efektivitas manajemen risiko, pengendalian internal, dan 
proses tata kelola organisasi. 


Pemantauan dan evaluasi merupakan hal yang harus dilaksanakan dalam pelaksanaan suatu 


kebijakan, program, maupun kegiatan, karena: 
Reviu perkembangan/progress. 
Identifikasi masalah dalam perencanan dan/atau implementasi. 
Membuat penyesuaian yang dapat membuat perbedaan. 
Membantu mengidentifikasi masalah dan penyebabnya. 
Memberikan berbagai kemungkinan solusi dalam menyelesaikan masalah. 
Memunculkan pertanyaan mengenai asumsi dan strategi. 
Mencerminkan tujuan yang akan dicapai dan bagaimana mencapainya. 
Memberikan informasi dan pengetahuan mendalam. 


Meningkatkan kemungkinan dalam membuat perubahan pembangunan yang positif. 
Ada beberapa perbedaan mendasar antara pemantauan dan evaluasi. Pemantauan (monitoring) adalah 
prosedur penilaian yang secara deskriptif dimaksudkan untuk mengidentifikasi dan/atau mengukur 
pengaruh dari kegiatan yang sedang berjalan (on-going) tanpa mempertanyakan hubungan kausalitas. 
Pemantauan adalah bagian dari kegiatan manajemen untuk mengamati atau meninjau 
kembali/mempelajari serta mengawasi secara terus menerus atau berkala terhadap pelaksanaan 
program/ kegiatan yang sedang berjalan yang dilakukan oleh pengelola program/kegiatan dan 
dilaksanakan di setiap tingkatan. Pemantauan dilakukan untuk menyediakan informasi apakah kebijakan 


atau kegiatan diimplementasikan sesuai rencana dalam upaya 
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mencapai tujuan. Pemantauan merupakan alat manajemen yang efektif karena jika dalam 
pengimplementasian kebijakan berbeda dari rencana maka pemantauan dapat mengidentifikasi di mana 


letak masalahnya untuk kemudian dicari penyelesaiannya. 


Sedangkan evaluasi berfungsi untuk melihat dampak dengan mengisolasi efek dari suatu intervensi. 
Pada pelaksanaannya, evaluasi memerlukan data dan metodologi yang lebih komplek dari pemantauan. 
Evaluasi sendiri dapat berupa dampak apakah kebijakan mencapai tujuan awal, proses bagaimana 
kebijakan dilaksanakan, dan apa saja keuntungan yang diterima oleh personil atau analisis biaya dari 
suatu program. Untuk mendapatkan evaluasi yang baik diperlukan data baseline sebagai acuan dan 
melakukan perencanaan evaluasi sejak awal seperti menetapkan tujuan, metodologi, jadwal, dan 


pembiayaan. 


A. PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS PROSES TATA KELOLA 


Pendekatan atau cara yang digunakan setiap organisasi dalam menerapkan tata kelola yang baik (good 
governance) tidak sama, namun semua berorientasi pada stakeholders, melalui peningkatan kualitas 
layanan dan perbaikan sistem manajemen organisasi. Proses tata kelola harus dipantau dan dievaluasi 


untuk mengetahui apakah telah terlaksana secara efektif. 


Evaluasi terhadap proses tata kelola dapat dilakukan secara kualitatif maupun kuantitatif. Salah satu 
contoh evaluasi terhadap tata kelola organisasi adalah assessment tata kelola sektor publik yang 
dikembangkan oleh Insititute of Internal Auditor (IIA). Dalam practice guide IPPF (International 
Professional Practice Framework) Assessing Organizational Governance in The Public Sector, 
diterbitkan Oktober 2014, evaluasi dilakukan atas proses maupun struktur tata kelola: Pimpinan dan 
Komite Audit Organisasi, Strategi Organisasi, Manajemen Risiko, Etika, Kepatuhan, Akuntabilitas, 
Pemantauan, dan Teknologi Informasi. Evaluasi dilakukan dengan melihat bukti dokumen yang terkait 


serta outcomes dari setiap proses. 


Gambar 4.1. IPPF Practice Guide: Assessing Organizational Governance in The Public Sector 


GIBOM 
GOVERNANCE 


IN THE PUBLIC SECTION 
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B. PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS MANAJEMEN RISIKO 


Standar Audit Intern Pemerintah Indonesia Tahun 2014, Paragraf 3120 tentang Manajemen Risiko 
menyatakan bahwa proses manajemen risiko dipantau melalui kegiatan manajemen yang berkelanjutan, 


evaluasi terpisah, atau keduanya. 


Pemantauan dilakukan di semua tingkat manajemen dan menggunakan baik pelaporan formal maupun 
komunikasi informal. Pemantauan tindakan manajemen risiko melibatkan pengumpulan informasi yang 
akan membantu menjawab pertanyaan tentang efektivitas manajemen risiko organisasi. Adalah penting 
bahwa informasi ini dikumpulkan dan dilaporkan secara terencana, terorganisasi, dan rutin. Pemantauan 


atas efektivitas manajemen risiko dilakukan oleh manajemen. 


Informasi pemantauan dikumpulkan secara periodik baik secara harian, bulanan, ataupun kuartalan. 


Pemantauan dapat menjawab pertanyaan seperti: 
Seberapa baik yang kita lakukan ? (kinerja) 
Apakah kita melakukan hal yang benar ? (penyimpangan) 
Apa perbedaan yang kita buat? (dampak) 

Pemantauan adalah proses reviu berkelanjutan terhadap: 
apakah sumber daya dimobilisasi dan dimanfaatkan; 
apakah kegiatan yang sedang dilakukan; dan 


apakah output yang dimaksudkan dan hasil yang dicapai. 


Maksud dan Tujuan Evaluasi 
Maksud dan tujuan dilakukannya evaluasi penerapan manajemen risiko adalah untuk: 


1. Menilai kecukupan rancangan dan efektivitas pelaksanaan proses manajemen risiko. 


Evaluasi penerapan manajemen risiko merupakan kegiatan yang dilakukan oleh manajemen 
untuk memberikan keyakinan kepada para stakeholder apakah rancangan dan efektivitas 
pelaksanaan proses manajemen risiko telah mencapai tujuan dan sasaran organisasi yang 


diharapkan. 
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Mengetahui tingkat kematangan manajemen risiko (risk maturity level) organisasi. 


Tingkat kematangan manajemen risiko menunjukkan kondisi penerapan manajemen risiko yang 
ada pada saat evaluasi penerapan manajemen risiko dilakukan. Manajemen organisasi perlu 
mengetahui tingkat kematangan manajemen risikonya saat evaluasi dilakukan, dengan tujuan 
untuk mengetahui celah antara kondisi tingkat kematangan manajemen risiko yang ada dengan 


yang diharapkan. Tingkat kematangan manajemen risiko perlu ditingkatkan secara terus menerus. 


3. Menentukan perencanaan audit dan pendekatan audit yang akan digunakan oleh auditor internal. 


Kondisi tingkat kematangan manajemen risiko berkaitan erat dengan penentuan perencanaan 
audit dan pendekatan audit yang digunakan oleh auditor internal. Perencanaan audit dan 
pendekatan audit berbasis risiko tidak dapat dilaksanakan bila kondisi tingkat kematangan 
manajemen risiko berada dalam tingkat awal (non-existent dan initial) karena pada kondisi 
tersebut auditor belum dapat mengandalkan hasil penerapan manajemen risiko (profil risiko 
organisasi) yang dilakukan oleh manajemen. Pada kondisi tingkat kematangan awal justru auditor 
internal harus berperan sebagai fasilitator untuk memperbaiki proses manajemen risiko 


organisasi. 


Evaluasi terhadap efektivitas manajemen risiko melihat apakah risik-risiko yang ada telah menurun 


dengan dilakukannya pengendalian. Penurunan dapat dilihat dari level risiko yang semakin menurun 


ataupun kejadian risikonya yang semakin berkurang (perbandingan event risk dari waktu ke waktu). 


Evaluasi juga dapat dilakukan melalui risk based internal audit yang dilaksanakan oleh auditor internal 


suatu organisasi. Menurut IIA, risk based internal audit adalah sebuah metodologi yang menghubungkan 


audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal 


mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai 


sehubungan dengan risiko yang dapat diterima (risk appetite). Dengan risk based internal audit, sasaran 


penugasan harus berfokus pada risiko, pengendalian, dan proses tata kelola (risk, controls, and 


governance) atas kegiatan yang diaudit. 
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C. PEMANTAUAN DAN EVALUASI ATAS PENGENDALIAN INTERNAL 


Pemantauan pengendalian intern adalah tindakan pengawasan yang dilakukan oleh manajemen dan 
pegawai lain yang ditunjuk untuk menilai kualitas dan efektivitas sistem pengendalian intern. 
Pemantauan terhadap sistem pengendalian intern bertujuan untuk meyakinkan bahwa pengendalian 


telah berjalan sebagaimana yang diharapkan dan diperbaiki sesuai dengan kebutuhan. 


Aspek pemantauan pengendalian intern mencakup penilaian kegiatan rutin, seperti supervisi, reviu atas 
transaksi yang terjadi guna memastikan apakah kegiatan operasional telah sesuai dengan sistem dan 


prosedur pengendalian yang telah ditetapkan. 


Pemantauan atas pengendalian intern yang sedang berjalan menyatu pada kegiatan rutin dan berulang. 
Pemantauan ini mencakup setiap komponen sistem pengendalian internal dan kegiatan untuk 
mencegah terjadinya kondisi yang tidak lazim, tidak etis, tidak ekonomis, tidak efisien, dan tidak efektif 


dalam pelaksanaan kegiatan. 


Evaluasi atas kegiatan pengendalian yang ada/terpasang pada dasarnya merupakan tahapan untuk 
menilai apakah kegiatan pengendalian telah dibangun secara memadai untuk mengatasi risiko atau 
belum. Penilaian terhadap kegiatan pengendalian yang ada mencakup keberadaan kebijakan dan 
prosedur yang dimiliki instansi pemerintah terkait penyelenggaraan sistem pengendalian intern. Selain 
tentang keberadaan, hal penting lain yang harus dinilai adalah implementasi dari kebijakan dan prosedur 
tersebut. Salah satu pendekatan yang cukup efektif dan efisien adalah dengan control self assessment 


(CSA). Peran auditor internal adalah menjadi fasilitator dalam pelaksanaan control self assessment. 


Berdasarkan penilaian ketepatan rancangan pengendalian dan efektivitas pengendalian, celah 
pengendalian akan dapat diketahui. Celah pengendalian adalah kondisi yang terjadi apabila risiko sesuai 
prioritas tidak memiliki pengendalian atau pengendalian yang ada tidak mencukupi untuk membawa 
risiko kepada tingkat sisa risiko (residual risk) yang berada dalam tingkat selera risiko manajemen. Atas 
risiko tersebut, lebih lanjut, akan dirumuskan perbaikan atau revisi kegiatan pengendaliannya. Rumusan 


ini dituangkan dalam dokumen Rencana Tindak Pengendalian (RTP). 
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Informasi dalam sistem pengendalian intern dapat berupa: 


1. informasi tentang paparan dan tren risiko yang terjadi; 
2. informasi yang merupakan bagian atau sebagai bentuk dari kegiatan pengendalian; 
3. informasi yang dibutuhkan untuk menjalankan pengendalian. 


Dalam RTP, keseluruhan informasi tersebut dituangkan cara pengomunikasiannya untuk mendukung 


berjalannya pengendalian. 


Dokumen RTP perlu memuat mekanisme pemantauan yang akan dijalankan. Hal ini untuk memastikan 
bahwa pengendalian yang telah dirancang dilaksanakan dan berjalan secara efektif. Pemantauan 


diharapkan dapat memberikan informasi mengenai beberapa hal berikut. 
1. realisasi pelaksanaan perbaikan/penyempurnaan kebijakan, prosedur atau infrastruktur lainnya; 


2. kegiatan/proses manajemen yang masih bermasalah meskipun telah dirancang mekanisme 


pengendalian di dalamnya; 
3. infrastruktur pengendalian yang tidak dapat berjalan dengan baik; 
4. penyebab dan akibat permasalahan; 


5. tindakan yang diperlukan jika berdasarkan hasil pemantauan diperoleh kesimpulan bahwa 


diperlukan penyempurnaan lebih lanjut. 


Kegiatan pemantauan dapat dilakukan oleh setiap tingkat pimpinan di masing-masing bagian/bidang. 


Control Self Assessment (CSA) 


CSA adalah suatu proses penilaian diri sendiri tentang efektifitas pengendalian yang ada untuk memberi 
keyakinan bahwa tujuan/sasaran organisasi akan tercapai. Penilaian sendiri merujuk upaya yang 
melibatkan manajemen dan karyawan secara aktif terlibat dalam evaluasi dan pengukuran efektivitas 
pengendalian. Pendekatan ini dapat dilakukan dengan melibatkan auditor internal atau konsultan, 
namun tetap dalam koridor bahwa manajemen atau pimpinan instansi adalah pihak yang bertanggung 


jawab untuk menilai sendiri efektivitias pengendalian yang 
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berlangsung dalam organisasi yang dipimpinnya. Pihak ketiga (auditor internal atau konsultan) berperan 


sebagai fasilitator untuk menggali ide dan mengakselerasi proses CSA. 


Metode CSA menurut Larry Hubbard (2005) dibagi atas tiga pendekatan, yaitu: 
1. workshop 
2. survei 


3. analisis manajemen 

Pendekatan workshop adalah pertemuan yang difasilitasi oleh fasilitator untuk menilai risiko terkait 
dengan tujuan yang akan dicapai. Survei adalah metode CSA dengan memberikan kuesioner kepada 
responden. Pendekatan survei biasanya dilakukan apabila budaya organisasi masih belum terbuka 
terhadap kritik-kritik dan saran-saran terutama atas hal-hal yang sifatnya masih sensitif dan tabu untuk 
didiskusikan. Secara umum, metode survei dapat lebih dipilin dibanding metode workshop dalam kondisi 
berikut. 


1. Budaya organisasi yang belum siap untuk mendiskusikan hal-hal yang sifatnya sensitif pada 


pertemuan terbuka. 


2. Susah untuk mengumpulkan peserta bersama-sama dalam suatu pertemuan. 
3. Adanya keterbatasan dana sehingga dipilin metode dengan biaya murah. 


4. Auditor intern belum memiliki keahlian sebagai fasilitator. 
5. Ruang lingkup penilaian sendiri atas organisasi terlalu luas, sedangkan informasi dibutuhkan 


cepat. 


Dalam pendekatan survei, peserta atau responden mengisi kuesioner yang telah dirancang oleh 
fasilitator. Responden biasanya mengisi kuesioner tanpa menyebutkan nama, agar pengisian kuesioner 
dapat dilakukan dengan jujur dan apa adanya. Hasil kuesioner tersebut kemudian digunakan oleh 


pimpinan dalam menilai pengendalian intern. 


Metode ketiga CSA adalah analisis manajemen. Pendekatan ini memang tidak sepopuler pendekatan 
workshop dan survei. Pendekatan ini intinya adalah analisis yang dihasilkan oleh manajemen 
berdasarkan diskusi, reviu, atau kuesioner dalam rangka mendukung suatu opini/pendapat tertentu atau 


membuat kesimpulan atas suatu permasalahan tertentu. 
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Dari ketiga metode CSA tersebut di atas, yang paling populer dan direkomendasikan oleh The Institute 
of Internal Auditor (I I A) adalah metode workshop. Jika budaya organisasi tidak mendukung metode 


workshop, maka metode survei dan analisis manajemen dapat digunakan. 
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